独角兽企业重金招聘Python工程师标准>>>
在设置Apache + SSL之前, 需要做:
安装Apache, 下载安装Apache时请下载带有ssl版本的Apache安装程序.
并且ssl需要的文件在如下的位置:
[Apache安装目录]/modules/ mod_ssl.so
[Apache安装目录]/bin/ openssl.exe, libeay32.dll, ssleay32.dll, f
[Apache安装目录]/conf/ f
创建SSL证书(注意,我下载的是PHPStudy里面自带了openssl,但是bin目录下没有f,需要将conf下的f拷贝一份到bin目录下,但总体原理一样)
一.生成一个带CA(Certificate Authority)授权的证书
打开CMD,进入到Apache安装目录下的bin目录下:
步骤一:
执行命令,生成私钥:
openssl genrsa -out tian_server.key 2048
(RSA密钥对的默认长度是1024,取值是2的整数次方,并且密钥长度约长,安全性相对会高点)。
完成密钥server.key生产完毕后进行步骤二操作。
步骤二:
配置f
请确保以下数据这里所要求的值
default_md= md5 #默认是default,会触发[default digest message is not supported ]
req_extensions = v3_req #默认签名被注释了
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names #此项不存在,需要添加
[ alt_names ] #此项不存在,需要添加,注意DNS.x
DNS.1 = #自定义
DNS.2 = #自定义
DNS.3 = #自定义
DNS.4 = www.#自定义
DNS.5 = #自定义
DNS.6 = #自定义
然后创建目录和文件
demoCA/
newcerts/
private/
index.txt
index.txt.attr
serial #此文件初始值输入00即可
生成Certificate Signing Request文件,用于向CA机构申请证书:
openssl req -new -key tian_server.key -out tian_server.csr -config f
(如果不加-config .f参数的话,常会报Unable to load config info from .../ssl/f)
之后就会要求输入一系列的参数:
CountryName(2lettercode)[AU]:CNISO国家代码(只支持两位字符)
StateorProvinceName(fullname)[Some-State]:ZJ所在省份
LocalityName(eg,city)[]:HZ所在城市
OrganizationName(eg,company):公司名称
OrganizationalUnitName(eg,section)[]:组织名称
CommonName(eg,YOURname)[]:申请证书的域名(建议和httpd.conf中serverName必须一致)
EmailAddress[]:admin@管理员邮箱
Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:交换密钥
Anoptionalcompanyname[]:
注:Common Name建议和httpd.conf中serverName必须一致,或者与f 中的alt_names中的一个域名保持一致,否则证书有可能申请不到,并且启动 apache 时错误提示为:server RSA certificate CommonName (CN) `Kedou' does NOT match server name!?)
我们得到CSR之后,第三方CA机构申请通过后,会把生成好下发给你,如果你选择了第三方机构,可以跳过步骤三和四,直接到步骤五。
步骤三:
生成一个根证书,用于签名以上证书文件。
#生成顶级CA的公钥证书和私钥文件,有效期(RSA1024bits,默认)opensslreq-new-x509-days3650-keyoutCARoot1024.key-outCARoot1024.crt -config f#为顶级CA的私钥文件去除保护口令 ,这一步可选,建议不要执行#opensslrsa-inCARoot1024.key-outCARoot1024.key -config f
CARoot1024.crt 是数字签名证书,实质也是个pem文件。
步骤四:
用我们自己的CARoot授权服务器证书(本步骤需要保持网络连接通畅,否则可能造成txt_DB error)
#使用CA的公私钥文件给csr文件签名,生成应用证书,有效期5年opensslca-in tian_server.csr-out tian_server.crt-certCARoot1024.crt-keyfileCARoot1024.key-days1826 -entensions v3_req-policypolicy_anything -config f#使用CA的公私钥文件给csr文件签名,生成中级证书,有效期5年#opensslca-extensionsv3_ca-intian_server.csr-outtian_server.crt-certCARoot1024.crt-keyfileCARoot1024.key-days1826-policypolicy_anything-config f
以上是生成根证书与应用证书过程中要用到的所有命令,根据生成目标不同,分为两组。其中,前面一组都用于生成自签名的顶级CA。
最后一组用于生成非自签名的证书,包括中级证书与应用证书。所谓中级证书,是具有继续颁发下级证书权限的子CA,而本文中所说的应用证书,特指不能用来继续颁发下级证书,只能用来证明个体身份的证书。顶级CA在签发二者的时候,只是多少一个 -extensions v3_ca 选项的区别,这个选项赋予被签发的证书继续签发下级证书的权力。
步骤五:
配置 httpd.conf. 在Apache的conf\extra目录下的 httpd_ssl.conf 文件是关于 ssl 的配置,是httpd.conf的一 部分。
在 httpd.conf 中添加下列两行:
LoadModulessl_modulemodules/mod_ssl.soIncludeconf/extra/httpd-ssl.conf
步骤六:
(注意:相同部分被省略掉)
#在conf\extra目录下,编辑httpd_ssl.confListen443 #必须启动,我们这里使用基于多端口虚拟主机SSLPassPhraseDialogbuiltinSSLSessionCache"dbm:D:/Program/ApacheSoftware/Apache2.2.17/logs/ssl_scache"#SSLSessionCache"shmcb:D:/Program/ApacheSoftware/Apache2.2.17/logs/ssl_scache(512000)"#(以上2种请自行监测,如有一种导致服务器启动不了,就换成另一种)SSLSessionCacheTimeout300<VirtualHost_default_:443>DocumentRoot"D:/PHPStudy/WWW/phpSSL":443ErrorLog"D:/PHPStudy/Apache/logs/no-robots_error.log.txt"TransferLog"D:/PHPStudy/Apache/logs/no-robots_access.log.txt"SSLCertificateFile"D:/PHPStudy/Apache/conf/tian_server.crt"SSLCertificateKeyFile"D:/PHPStudy/Apache/conf/tian_server.key"CustomLog"D:/PHPStudy/Apache/logs/ssl_request.log"\"%t%h%{SSL_PROTOCOL}x%{SSL_CIPHER}x\"%r\"%b"/**********略*************/</VirtualHost>
以上最容易出问题的地方是http_ssl.conf中的日志等路径问题,建议按照物理路径进行设置
步骤八:
调试运行Apache,对于Apache。如果是集成板的如xampp,wampserver,或者phpstudy启动Apache Server,可能我们不知道我们的服务器出现了什么问题,建议查看 Apache/logs下的日志,在此基础上,配合Cmd命令行在bin目录下运行httpd命令,如果不报错,说明服务器运行没问题,否则更具提示修改问题
运行效果如下
二.生成一个不带CA授权的自签名证书
# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护> openssl genrsa -des3 -out selfsign.key 4096# 使用上面生成的key,生成一个certificate signing request (CSR)# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。> openssl req -new -key selfsign.key -out selfsign.csr# 生成Self Signed证书 selfsign.crt就是我们生成的证书了> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书 > openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
三.openSSL常用命令
# 查看KEY信息> openssl rsa -noout -text -in myserver.key# 查看CSR信息> openssl req -noout -text -in myserver.csr# 查看证书信息> openssl x509 -noout -text -in ca.crt# 验证证书# 会提示self signed> openssl verify selfsign.crt#密钥去密码保护>openssl rsa -in myserver.key -out server.key# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功> openssl verify -CAfile ca.crt myserver.crt
不同格式证书的转换
# PKCS转换为PEM> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes
# PEM转换为DER> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]
# PEM提取KEY> openssl RSA -in myserver.pem -out myserver.key# DER转换为PEM> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem# PEM转换为PKCS> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt
测试证书
Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。
# 连接到远程服务器> openssl s_client -connect .hk:443# 模拟的HTTPS服务,可以返回Openssl相关信息 # -accept 用来指定监听的端口号 # -cert -key 用来指定提供服务的key和证书> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www# 可以将key和证书写到同一个文件中> cat myserver.crt myserver.key > myserver.pem# 使用的时候只提供一个参数就可以了> openssl s_server -accept 443 -cert myserver.pem -www# 可以将服务器的证书保存下来> openssl s_client -connect .hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem# 转换成DER文件,就可以在Windows下直接查看了> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
计算MD5和SHA1
# MD5 digest> openssl dgst -md5 filename# SHA1 digest> openssl dgst -sha1 filenam
参考:Nginx/Apache的SSL配置
/s/blog_4fdd2ea901015l0u.html
